43 lines
1.3 KiB
Markdown
43 lines
1.3 KiB
Markdown
---
|
||
title: "联合访问"
|
||
type: concept
|
||
tags: [AWS, IAM, Federation, Security]
|
||
date: 2026-04-19
|
||
---
|
||
|
||
## Definition
|
||
联合访问是通过外部身份提供商(如 Active Directory)映射 IAM 角色实现 AWS 访问的方式。
|
||
|
||
## Core Concept
|
||
> "Federated users log in via their organization's AD, which maps to an IAM role."
|
||
|
||
联合用户通过组织的 AD 登录,AD 组映射到 IAM 角色,角色授予相应的 AWS 访问权限。
|
||
|
||
## Workflow
|
||
1. 用户通过 AD 凭证登录
|
||
2. AD 组映射到 IAM 角色
|
||
3. 用户 assum 角色获取临时 AWS 凭证
|
||
4. 通过 CLI 工具(如 PFSSO)访问 AWS
|
||
|
||
## Components
|
||
- **Active Directory**:外部身份提供商
|
||
- **AD 组**:映射到 IAM 角色的组
|
||
- **IAM 角色**:接收 AD 映射的角色
|
||
- **PFSSO**:命令行联合访问工具
|
||
|
||
## Why Federation
|
||
- 集中管理用户身份(无需单独管理 IAM 用户)
|
||
- 员工离职后自动失去访问权限
|
||
- 单一登录入口
|
||
|
||
## Best Practice
|
||
Federation 是用户管理的首选方法,IAM 用户仅用于服务账号。
|
||
|
||
## Related Concepts
|
||
- [[IAM-角色]]: 联合访问的目标角色
|
||
- [[PFSSO]]: 命令行联合访问工具
|
||
- [[Active-Directory]]: 外部身份提供商
|
||
|
||
## Connections
|
||
- [[AD]] ← maps_to_role ← [[IAM-角色]]
|
||
- [[联合访问]] ← requires ← [[PFSSO]] |